此檢查清單旨在幫助您瞭解 Horizon Cloud on Microsoft Azure 部署所需的元素。

重要: Horizon Cloud on Microsoft Azure 部署是指原生 Microsoft Azure 基礎結構。

檢查清單對象

此檢查清單適用於從未在其租用戶環境中進行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客戶帳戶。您可能會聽到此類租用戶環境被稱為全新環境或綠地環境。

在部署 Horizon Cloud 之前,必須執行下面的一些項目。您可以將某些項目延遲到部署完成並且執行之後。

Microsoft Azure 訂閱需求

支援的 Microsoft Azure 環境 (Azure Commercial) 中的有效 Microsoft Azure 訂閱。如果您要在自己的專用提供者 (Microsoft Azure 訂閱) 中部署 Horizon Edge 應用裝置 (包括 Horizon Edge 閘道Unified Access Gateway 執行個體),請取得另一項有效的 Microsoft Azure 訂閱來部署集區範本。
備註:

Horizon Cloud 支援大多數 Microsoft Azure 區域。

每個 Microsoft Azure 訂閱中的有效 Microsoft Azure 管理權限,可讓您使用 Microsoft Azure 入口網站並執行 Horizon Cloud 部署準備步驟
在每個 Microsoft Azure 訂閱中建立一或多個服務主體,記下訂閱識別碼、目錄識別碼和應用程式識別碼,並將適當的角色指派給訂閱中的每個服務主體。
備註: 建立多個服務主體時,它們將共用訂閱識別碼和目錄識別碼,但每個服務主體都有自己的應用程式識別碼。
建立 Microsoft Azure 使用者受管理身分。

使用 AKS 叢集的 Horizon Edge 需要使用者受管理身分,且這個身分在管理 VNet 的資源群組範圍內具有「網路參與者」角色,以及在 Microsoft Azure 訂閱範圍內具有受管理識別身分操作員角色。請參閱有關管理使用者指派的受管理身分識別的 Microsoft 說明文件

為 Microsoft Azure 訂閱登錄所需的資源提供者;請參閱確認已在 Microsoft Azure 訂閱中登錄所需的資源提供者
建立一個自訂角色,以便提供對訂閱中 Azure 計算庫的讀取權限,並將該自訂角色指派給為指定 Horizon Edge 所設定的所有服務主體。
訂閱必須允許建立沒有標籤的資源群組。

Microsoft Azure 容量需求

如果下表代表 Microsoft Azure 容量,則不需要手動安裝。只要訂閱中具有所述的可用容量,部署工具便會自動具現化所述的虛擬機器。

將核心 Horizon Edge 資源部署至該訂閱中所需的 Microsoft Azure 容量。
  • Horizon Edge 閘道 - 4 個 Standard_D2s_v3 虛擬機器
    • 自此以後,Horizon Cloud 部署將使用 Azure Kubernetes 服務 (AKS) 叢集,該叢集需要 4 個 Standard_D2s_v3 虛擬機器來提供容量。

      在 AKS 叢集的正常運作期間,需要 4 個 Standard_D2s_v3 節點。在升級程序期間,需要使用 1 個額外的節點。

    • 先前的部署利用了 1 個標準 D4s v3 虛擬機器
  • Unified Access Gateway 執行個體 - 最少 2 個標準 A4 v2 節點
Horizon Edge 執行個體可供使用後,您在 Microsoft Azure 雲端中的容量還必須能夠容納您在該 App Volumes 執行個體中所建立且已匯入的虛擬機器、映像、集區範本虛擬機器,以及 Horizon Edge 應用程式擷取虛擬機器。請參閱Image Management System Requirements一節。

網路需求

以下網路需求包括為 Horizon Cloud 部署提供高可用性所需的詳細資料。這些需求還包括支援使用 AKS 叢集來設定 Horizon Edge 閘道。使用 AKS 叢集來設定 Horizon Edge 閘道,可提供更易於調整的解決方案。

在您的目標 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet),且有適當的位址空間可涵蓋所需的子網路。請參閱設定網路需求
在您站台的 VNet 中,為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。

以下是最低的子網路需求。對於較大的環境,可能需要使用更大的子網路。

  • 管理子網路 - 最小值 /26

    為管理子網路設定 NAT 閘道,因為使用 AKS 叢集的 Horizon Edge 需要使用 NAT 閘道進行輸出連線。

  • 桌面子網路 - 主要 (租用戶)— 最小值 /27,但可以根據桌面和 RDS 伺服器的數量,適當地調整大小。您可以根據需要,新增更多的子網路。
    備註:

    如果使用的是內部負載平衡器,請確定桌面虛擬機器的所有桌面子網路均是在 RFC1918 中所述的 IP 範圍內。

  • DMZ 子網路 — 對於 Unified Access Gateway 執行個體的叢集,最小值 /27
作為必要條件,必須在 VNet 上手動建立子網路。請參閱設定網路需求。最佳做法是,不要將其他資源連接到子網路。

當您選擇使用專用提供者來部署 Horizon 閘道應用裝置 (Horizon Edge 閘道Unified Access Gateway) 時,您必須在提供者中建立後端子網路,以便從中部署桌面。

在管理子網路上設定 NAT 閘道,以便為 Horizon Edge 閘道 啟用輸出連線。
收集以下 CIDR IP 位址範圍;您需要使用這些範圍,以在部署期間設定 Horizon Edge 閘道
備註: 請確定這些範圍不會與環境中使用的其他範圍衝突。
  • 服務 CIDR — 最小值 /27
  • 網繭 CIDR — 最小值 /21
  • Docker 橋接器 CIDR — 最小值 /20

若要成功部署 AKS 叢集,您必須符合以下 Microsoft Azure 需求。在使用 Horizon Universal Console 來部署 Horizon Edge 時,請確定管理子網路 VNet 的服務 CIDR、網繭 CIDR 和位址空間不會與以下 IP 範圍衝突:

  • 169.254.0.0/16
  • 172.30.0.0/16
  • 172.31.0.0/16
  • 192.0.2.0/24
設定 VNet (虛擬網路) DNS 伺服器,指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。請參閱部署 Horizon Edge 閘道和 Unified Access Gateway 後設定所需的 DNS 記錄

對於內部端點,AD 伺服器就是一個範例。

對於外部端點,您用於閘道部署的 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。

您用於 Horizon Edge 部署的 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。如需 DNS 名稱和連接埠的清單,請參閱開放存取適當的連接埠和 URL 以在 Microsoft Azure 中部署 Horizon Edge 閘道
選用。已設定 Microsoft Azure VPN/Express Route (當您希望在 VNet 與內部部署公司網路之間建立網路連線時)。
對於使用 AKS 叢集的 Horizon Edge,如果用於 Horizon Edge 部署的 VNet 具有自訂 DNS 伺服器,則必須將 Microsoft Azure DNS IP 位址 168.63.129.16 新增為上游 DNS 伺服器。

連接埠和通訊協定需求

對於 Horizon Cloud 環境的部署和進行中作業,需要特定的連接埠和通訊協定。

Unified Access Gateway 需求

Unified Access Gateway 虛擬機器叢集與集區範本產生關聯,從而讓用戶端能夠與該集區範本中的虛擬機器建立受信任的 HTML Access 連線。

您可以使用 Horizon Universal Console,將 Horizon Cloud 設定成使用 Unified Access Gateway。該類型的組態需要以下項目。

允許透過企業網路進行內部存取Unified Access Gateway 存取類型時,仍需要對 *.horizon.vmware.com 進行輸出網際網路存取。可以將防火牆或 NAT 閘道套用至 DMZ 子網路,以允許輸出流量。

Unified Access Gateway 組態需要 FQDN。
符合 FQDN 且採用 PEM 格式的一或多個 Unified Access Gateway 憑證。
備註: 如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定,則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在 Unified Access Gateway 組態中設定您提供的憑證期間, Unified Access Gateway 軟體將會連線至這些 DNS 名稱,以檢查憑證的撤銷狀態。如果無法存取這些 DNS 名稱,部署將失敗。這些名稱高度依存於您用來取得憑證的 CA,這不在 VMware 的控制範圍內。

Active Directory 需求

主控台的 Active Directory 登錄工作流程要求下列項目。

下列其中一項支援的 Active Directory 組態:
  • 透過 VPN/Express Route 連線的內部部署 Active Directory 伺服器
  • 位於 Microsoft Azure 中的 Active Directory 伺服器
  • Microsoft Azure Active Directory 網域服務
支援的 Microsoft Windows Active Directory 網域服務 (AD DS) 網域功能性層級。
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

支援的 Microsoft Windows Active Directory 網域服務 (AD DS) 作業系統版本。

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R
網域繫結帳戶
具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元: "/ \ [ ] : ; | = , + * ? < >

帳戶必須具有下列權限:

  • 列出內容
  • 讀取全部內容
  • 讀取權限
  • 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)

您也應該將帳戶密碼設定為永不到期,以確保可持續存取並登入 Horizon Cloud 環境。

  • 如果您熟悉 VMware Horizon 的內部部署供應項目,則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限。
  • 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

參考:建立 Active Directory 網域繫結帳戶和網域加入帳戶

輔助網域繫結帳戶
必須不同於主要網域繫結帳戶。UI 將防止在這兩個欄位中重複使用相同的帳戶。

具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >

帳戶必須具有下列權限:

  • 列出內容
  • 讀取全部內容
  • 讀取權限
  • 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)

您也應該將帳戶密碼設定為永不到期,以確保可持續存取並登入 Horizon Cloud 環境。

  • 如果您熟悉 VMware Horizon 的內部部署供應項目,則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限。
  • 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。
網域加入帳戶
Active Directory 網域加入帳戶,系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個 網域加入使用者帳戶)

帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >

目前不支援在帳戶的使用者名稱中使用空格。

您也應該將帳戶密碼設定為永不到期,以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。

此帳戶需要下列 Active Directory 權限,且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。

  • 讀取全部內容 - 僅限此物件
  • 建立電腦物件 - 此物件和所有子系物件
  • 刪除電腦物件 - 此物件和所有子系物件
  • 寫入全部內容 - 子系電腦物件
  • 重設密碼 - 子系電腦物件

對於計劃用於集區範本的目標組織單位 (OU),此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。

如需詳細資料,請參閱建立 Active Directory 網域繫結帳戶和網域加入帳戶

在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

選用輔助網域加入帳戶
Active Directory 網域加入帳戶,系統可以使用該帳戶執行 Sysprep 作業並將虛擬電腦加入網域。通常是專為此目的而建立的新帳戶。(一個 網域加入使用者帳戶)

帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >

目前不支援在帳戶的使用者名稱中使用空格。

您也應該將帳戶密碼設定為永不到期,以確保 Horizon Cloud 能夠持續執行 Sysprep 作業並將虛擬電腦加入網域。

此帳戶需要下列 Active Directory 權限,且這些權限適用於電腦 OU 或適用於您將輸入到主控台 [網域加入] UI 中的 OU。

  • 讀取全部內容 - 僅限此物件
  • 建立電腦物件 - 此物件和所有子系物件
  • 刪除電腦物件 - 此物件和所有子系物件
  • 寫入全部內容 - 子系電腦物件
  • 重設密碼 - 子系電腦物件

對於計劃用於集區範本的目標組織單位 (OU),此帳戶也需要在該目標組織單位 (OU) 的所有子系物件上具有名為「寫入全部內容」的 Active Directory 權限。

在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

虛擬桌面和 RDS 工作階段型桌面和/或已發佈應用程式適用的一或多個 Active Directory 組織單位 (OU)。

在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

Image Management System Requirements

您的 Microsoft Azure 訂閱必須符合以下需求,具體取決於您要在部署的 Horizon Edge 中佈建的映像類型。

映像的基礎。一或多個支援的 Microsoft Azure 虛擬機器組態。
  • 僅支援第 1 代虛擬機器型號。

請確定已為要用於基礎虛擬機器的型號提供足夠的配額。建議使用以下型號類型。

非 GPU:
  • Standard_DS2_v2

已啟用 GPU:

  • Standard_NV12s_v3

除了列出的非 GPU已啟用 GPU 類型之外,還支援其他型號類型,但這些型號類型未必經過驗證。如果您選取其中一個型號,請確定訂閱中有足夠的配額。

集區範本虛擬機器需求

您的 Microsoft Azure 訂閱必須符合下列需求,具體取決於您要從部署的 Horizon Edge 中佈建的集區範本虛擬機器的類型。

為集區範本中的虛擬機器選擇型號 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud 桌面作業不相容的除外)。

在您選取虛擬機器型號時,請考量以下詳細資料。

  • 集區範本中的虛擬機器僅支援第 1 代虛擬機器型號。
  • 要選取已啟用 GPU 的模型類型,還是選取非 GPU 模型類型,具體取決於建立映像期間選取的虛擬機器。
  • 若要建立多重工作階段集區範本,請選取使用多重工作階段作業系統所建立的映像。
  • 對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。
  • 請參閱適用於 Horizon Cloud Service - next-gen 的 Microsoft Azure 虛擬機器類型和大小 (89090),以瞭解不同 Microsoft Azure 虛擬機器類型和大小與 VMware Horizon Cloud Service - next-gen 之間的相容性。

Horizon Client 和 Horizon HTML Access (Web 用戶端) 需求

若要允許使用者存取 Horizon Cloud 環境中的授權資源,請確定他們使用的是下列其中一個支援的用戶端。
Horizon Client
使用者可以使用以下 Horizon Client 版本:
  • Windows 版 Horizon Client 2111 或更新版本
  • Mac 版 Horizon Client 2111 或更新版本
  • Linux 版 Horizon Client 2206 或更新版本
Horizon HTML Access
使用者可以連線至 Horizon Cloud 環境中內建的 HTML Access 版本。